威胁组织在新的 RemcosRAT 活动中使用罕见的数据传输策略

admin 2024-01-08 22:48:08 AnQuanKeInfo 来源:ZONE.CI 全球网 0 阅读模式

因使用 RemcosRAT 远程监视和控制工具反复针对乌克兰组织而闻名的威胁行为者再次发起攻击,这次采用了一种新策略,可以在不触发端点检测和响应系统的情况下传输数据。

被追踪为 UNC-0050 的对手在最新的攻击活动中重点针对乌克兰政府实体。发现该事件的 Uptycs 研究人员表示,这些攻击可能是出于政治动机,目的是从乌克兰政府机构收集具体情报。Uptycs 研究人员 Karthickkumar Kathiresan Shilpesh Trivedi在本周的一份报告中写道:虽然国家赞助的可能性仍然是推测性的,但该组织的活动构成了不可否认的风险,特别是对于依赖 Windows 系统的政府部门。

 RemcosRAT 威胁

至少自 2016 年以来,威胁行为者一直在使用RemcosRAT(它最初是一种合法的远程管理工具)来控制受感染的系统。除其他外,该工具允许攻击者收集和窃取系统、用户和处理器信息。它可以绕过许多防病毒和端点威胁检测工具并执行各种后门命令。在许多情况下,威胁行为者会通过网络钓鱼电子邮件的附件分发恶意软件。

 Uptycs 目前还无法确定最新活动中的初始攻击向量,但表示它倾向于以工作为主题的网络钓鱼和垃圾邮件,因为最有可能是恶意软件分发方法。该安全供应商的评估基于其审查的电子邮件,这些电子邮件据称向目标乌克兰军事人员提供在以色列国防军中担任顾问的职位。

 Uptycs 表示,感染链本身以 .lnk 文件开始,该文件收集有关受感染系统的信息,然后使用 Windows 本机二进制文件从攻击者控制的远程服务器检索名为 6.hta HTML 应用程序。检索到的应用程序包含一个 PowerShell 脚本,该脚本启动从攻击者控制的域下载另外两个有效负载文件(word_update.exe ofer.docx)的步骤,并最终在系统上安装 RemcosRAT

 有点罕见的策略

UNC-0050 新活动的不同之处在于,威胁行为者使用称为匿名管道的Windows 进程间通信功能在受感染的系统上传输数据。正如 Microsoft 所描述的,匿名管道是一种用于在父进程和子进程之间传输数据的单向通信通道。Kathiresan Trivedi 表示,UNC-0050 正在利用该功能秘密传输数据,而不会触发任何 EDR 或防病毒警报。

 Uptycs 研究人员指出,UNC-0050 并不是第一个使用管道窃取被盗数据的威胁行为者,但这种策略仍然相对罕见。他们说:虽然不是全新的,但这项技术标志着该组织战略复杂性的重大飞跃。

 这并不是安全研究人员第一次发现 UAC-0050 试图向乌克兰的目标分发 RemcosRAT。去年,乌克兰计算机紧急响应小组 (CERT-UA) 多次警告威胁行为者向该国组织分发远程访问木马的活动。

 最近的一次是2023 12 21 日发布的一份咨询,涉及大规模网络钓鱼活动,其中包含的电子邮件附件据称是涉及乌克兰最大电信提供商之一 Kyivstar 的合同。12 月初,CERT-UA 警告称,存在另一场RemcosRAT 大规模分发活动,其中涉及针对乌克兰和波兰组织和个人的司法索赔债务电子邮件。这些电子邮件包含存档文件或 RAR 文件形式的附件。

 去年 11 月,CERT-UA 在其他三个场合发出了类似的警报,其中一次以法庭传票为主题的电子邮件作为最初的发送工具;另一次也是在 11 月,其中包含据称来自乌克兰安全部门的电子邮件;第一次是在 2023 2 月,涉及一场群发电子邮件活动,其中的附件似乎与基辅地区法院有关。

weinxin
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论:0   参与:  0